HTTP-Traffic auf ASA 5520 langsam

[wudler]

Hallo,

seit der Umstellung auf eine ASA 5520 (7.2(3)) ist das Surfen im Internet deutlich langsamer als mit der vorher eingesetzten Fortigate 200. Ich dachte zunächst es liegt vlt an dem CSC-SSM-Modul von TrendMicro, das den http-Traffic scannt. Aber auch nach dessen Deaktivierung ist das nicht besser geworden.

Auch wenn nur wenig Traffic auf dem Outside-Interface (SDSL mit 4MBit sym) aufschlägt, ist das zu beobachten.

die default-inspection-rule für http ist deaktiviert.

Hat irgendjemand eine Idee oder vergleichbare Probleme ?

Gruß

[Wordo]

MTU mal geschaut?

[wudler]

steht bei allen Interfaces auf 1500

Am "outside"-Interface hängt der CPE des ISP. An dieser config wurde allerdings nichts geändert.

[Wordo]

Stells bei deinen Clients mal auf 1400, davor koenntest du noch schaun das die Clients Windowsfirewall deaktiviert haben, bzw ICMP eingehend erlauben und auf der ASA mal ICMP generell freischalten (besonders ausgehend am internen IF).

[wudler]

Wie ändere ich die MTU auf den Clients ? Habe mal beim ISP nachgefragt. Auf dem CPE ist MTU 1500 eingestellt.

[Wordo]

Hast du das mit der Firewall und ICMP schon gemacht? Danach Client neustarten und testen. MTU kannste mit nem Tool recht leicht aendern ...

DrTCP windows tcp tuning and tweaking - dslreports.com

Setz mal auf 1400 ...

[wudler]

XP-Firewall ist inaktiv. ausgehender ping vom Client ist freigeschaltet. ping antwortet auf Anfrage eines Host im Internet. Eingehender ping macht keinen Sinn, da NAT auf der Firewall. D.h. Clients machen dynamisches NAT und "verstecken" sich hinter der IP der Firewall.

MTU am Client auf 1400 eingestellt und reboot. Keine Verbesserung.

[Wordo]

Komisch, poste mal die Config bitte.

[wudler]

config einer Firewall posten ? Ich will meinen Job behalten

sind 565 Zeilen. vlt würden dir ja bestimmte Bereiche reichen

[wudler]

Das Problem hat sich in Luft aufgelöst. Der Support des ISP hatte den entscheidenden Tipp als ich wg. der MTU auf dem CPE gefragt habe. DNS !!.

Habe auf einem Client die DNS-Server unseres ISP eingetragen und siehe da. Das war des Rätsels Lösung. Unser interner DNS-Server, der externe Anfragen an einen externen DNS weiterleitet, hat Probleme mit der Reaktionszeit.

Vielen Dank jedenfalls für die Unterstützung.